CN109218281A - 基于意图的网络安全策略修改 - Google Patents
基于意图的网络安全策略修改 Download PDFInfo
- Publication number
- CN109218281A CN109218281A CN201810555782.3A CN201810555782A CN109218281A CN 109218281 A CN109218281 A CN 109218281A CN 201810555782 A CN201810555782 A CN 201810555782A CN 109218281 A CN109218281 A CN 109218281A
- Authority
- CN
- China
- Prior art keywords
- safety regulation
- regulation set
- information
- security policy
- safety
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/02—Knowledge representation; Symbolic representation
- G06N5/022—Knowledge engineering; Knowledge acquisition
- G06N5/025—Extracting rules from data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/20—Traffic policing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2441—Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Automation & Control Theory (AREA)
- Artificial Intelligence (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Mathematical Physics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
本公开的实施例涉及基于意图的网络安全策略修改。一种设备可以接收与安全规则集合相关联的第一信息。第一信息可以标识设备在安全规则集合应用于业务时将要实施的安全动作集合。该设备可以使用第一信息来确定安全规则集合将要应用的方式。该设备可以确定安全规则集合将要应用的方式于网络安全策略的意图或先前定义的安全规则集合将要应用的方式是否匹配,以确定安全规则集合是否与网络安全策略冲突或者安全规则集合是否与先前定义的安全规则集合相关。该设备可以执行动作。
Description
技术领域
本公开的实施例涉及计算机软件领域。
背景技术
网络安全策略可以包括概述用于计算机网络访问、网络业务等的规则的文档。规则可以管理数据访问、网页浏览习惯、密码和加密的使用、电子邮件附件等。网络安全策略可以为个人或者为整个公司的个人群体规定规则。
发明内容
根据一些可能的实现,一种设备可以包括一个或多个处理器,其用于接收与安全规则集合相关联的第一信息。第一信息可以从另一设备接收,并且可以用于修改网络安全策略。网络安全策略可以包括先前定义的安全规则集合。网络安全策略可以具有以下意图,该意图独立于被包括在网络安全策略中的先前定义的安全规则集合。该一个或多个处理器可以使用第一信息来确定安全规则集合将要应用的方式。安全规则集合将要应用的方式可以用于确定安全规则集合是否与网络安全策略的意图冲突或者与先前定义的安全规则集合相关。该一个或多个处理器可以使用第一信息和第二信息来确定:安全规则集合将要应用的方式与网络安全策略的意图或先前定义的安全规则集合将要应用的方式是否匹配。第二信息可以与网络安全策略相关联。第二信息可以与先前定义的安全规则集合相关联。该一个或多个处理器可以基于确定安全规则集合将要应用的方式与网络安全策略的意图或先前定义的安全规则集合将要应用的方式是否匹配来执行动作。动作可以涉及基于安全规则集合来修改网络安全策略。
根据一些可能的实现,其中一个或多个处理器还用于:接收第三信息,第三信息指示对被包括在网络安全策略中的安全规则子集的修改;使用第一信息、第二信息或第三信息来标识与安全规则子集相关的相应安全规则集合,相应安全规则集合包括安全规则集合中的一个或多个安全规则或者先前定义的安全规则集合中的一个或多个安全规则;以及确定要修改安全规则子集或相应安全规则集合。
根据一些可能的实现,其中一个或多个处理器还用于:对被包括在网络安全策略中的安全规则子集和相应安全规则集合进行映射,相应安全规则集合包括安全规则集合或先前定义的安全规则集合中的一个或多个安全规则。
根据一些可能的实现,其中一个或多个处理器在确定安全规则集合将要应用的方式时用于:使用来自另一设备的用户的输入来确定安全规则集合将要应用的方式。
根据一些可能的实现,其中一个或多个处理器还用于:确定第一信息和第二信息的阈值量是否匹配;以及其中当确定安全规则集合将要应用的方式与网络安全策略的意图或先前定义的安全规则集合将要应用的方式是否匹配时,一个或多个处理器用于:基于确定第一信息和第二信息的阈值量是否匹配,来确定安全规则集合将要应用的方式与网络安全策略的意图或先前定义的安全规则集合将要应用的方式是否匹配。
根据一些可能的实现,其中一个或多个处理器还用于:基于确定安全规则集合将要应用的方式与安全规则集合的意图或先前定义的安全规则集合将要应用的方式是否匹配,来确定安全规则集合与先前定义的安全规则集合是否相关或者安全规则集合是否与网络安全策略冲突。
根据一些可能的实现,其中一个或多个处理器在执行动作时用于:修改网络安全策略以包括标识安全规则集合的信息。
根据一些可能的实现,一种非暂态计算机可读介质可以存储一个或多个指令,该一个或多个指令在由一个或多个处理器执行时使一个或多个处理器接收与安全规则集合相关联的第一信息。第一信息可以标识安全规则集合将要应用的业务、或者设备在安全规则集合应用于业务时将要实施的安全动作集合。该一个或多个指令在由一个或多个处理器执行时可以使一个或多个处理器使用第一信息来确定安全规则集合将要应用的方式。安全规则集合将要应用的方式可以使用处理第一信息的技术来确定。该一个或多个指令在由一个或多个处理器执行时可以使一个或多个处理器确定安全规则集合将要应用的方式于网络安全策略的意图或先前定义的安全规则集合将要应用的方式是否匹配,以确定安全规则集合是否与网络安全策略冲突或者安全规则集合是否与先前定义的安全规则集合相关。该一个或多个指令在由一个或多个处理器执行时可以使一个或多个处理器基于确定安全规则集合将要应用的方式与网络安全策略的意图或先前定义的安全规则集合将要应用的方式是否匹配来执行动作。动作可以涉及基于安全规则集合来修改网络安全策略。
根据一些可能的实现,其中一个或多个指令在由一个或多个处理器执行时还使一个或多个处理器:分析第一信息以确定以下信息:信息标识安全规则集合将要应用的方式。
根据一些可能的实现,其中一个或多个指令在由一个或多个处理器执行时还使一个或多个处理器:确定是否将要修改与网络安全策略相关的信息以包括将安全规则集合标识为新的安全规则集合的信息;以及其中使一个或多个处理器执行动作的一个或多个指令使一个或多个处理器:在确定是否将要修改与网络安全策略相关的信息之后执行动作。
根据一些可能的实现,其中一个或多个指令在由一个或多个处理器执行时还使一个或多个处理器:接收第二信息,第二信息指示对被包括在网络安全策略中的安全规则子集的修改;以及使用第一信息、第二信息或与先前定义的安全规则集合相关联的第三信息来标识与安全规则子集相关的相应安全规则集合。
根据一些可能的实现,其中一个或多个指令在由一个或多个处理器执行时还使一个或多个处理器:接收对安全规则子集与相应的安全规则集合进行映射的指示;以及对安全规则子集与相应安全规则集合进行映射。
根据一些可能的实现,其中一个或多个指令在由一个或多个处理器执行时还使一个或多个处理器:确定安全规则集合是否将要作为先前定义的安全规则集合的例外集合而被包括在网络安全策略中;以及其中使一个或多个处理器执行动作的一个或多个指令使一个或多个处理器:在确定安全规则集合是否将要被包括在网络安全策略中作为例外集合之后执行动作。
根据一些可能的实现,其中使一个或多个处理器执行动作的一个或多个指令使一个或多个处理器:生成与安全规则集合或先前定义的安全规则集合相关的报告;以及向另一设备提供报告以用于显示。
根据一些可能的实现,一种方法可以包括由设备接收与安全规则集合相关联的第一信息。第一信息可以允许对安全规则集合将要应用的业务、或者该设备将要关于该业务来执行的安全动作集合的标识。该方法可以包括由该设备使用第一信息来确定安全规则集合将要应用的方式。该方法可以包括由该设备确定安全规则集合将要应用的方式与网络安全策略的意图或先前定义的安全规则集合将要应用的方式是否匹配。网络安全策略的意图或先前定义的安全规则集合将要应用的方式可以使用第二信息来确定,该第二信息与先前定义的安全规则集合或网络安全策略相关联。可以对第一信息和第二信息进行比较以确定安全规则集合将要应用的方式与网络安全策略的意图或先前定义的安全规则集合将要应用的方式是否匹配。该方法可以包括由该设备基于确定安全规则集合将要应用的方式与网络安全策略的意图或先前定义的安全规则集合将要应用的方式是否匹配来执行动作。
根据一些可能的实现,还包括:基于确定安全规则集合将要应用的方式与先前定义的安全规则集合将要应用的方式是否匹配来确定安全规则集合和先前定义的安全规则集合是否相关。
根据一些可能的实现,其中确定安全规则集合将要应用的方式包括:使用自然语言处理技术标识被包括在第一信息中的术语或短语来确定安全规则集合将要应用的方式。
根据一些可能的实现,其中执行动作包括:修改与网络安全策略相关的信息,以标识安全规则集合与先前定义的安全规则集合之间的关系。
根据一些可能的实现,还包括:使用第一信息或第二信息来标识与安全规则子集相关的相应安全规则集合。
根据一些可能的实现,还包括:对安全规则子集和相应安全规则集合进行映射,以允许安全规则子集与相应安全规则集合之间的关系的标识。
附图说明
图1A和1B是本文中描述的示例实现的概述的图;
图2是其中可以实现本文中描述的系统和/或方法的示例环境的图;
图3是图2的一个或多个设备的示例组件的图;
图4是用于基于意图的网络安全策略修改的示例过程的流程图;
图5是用于基于意图的网络安全策略修改的示例过程的流程图;以及
图6是用于基于意图的网络安全策略修改的示例过程的流程图。
具体实施方式
对示例实现的以下详细描述参考附图。不同附图中的相同附图标记可以标识相同或相似的元素。
网络安全策略可以包括与网络接入、经由网络所允许的业务等相关的一组规则。当规则、各种例外等被添加到网络安全策略和/或从网络安全策略移除时,网络安全策略可以随时间而被修改。对网络安全策略的修改可以以无组织的方式进行,从而防止网络管理员确定网络安全策略的初始意图、网络安全策略的初始意图被修改的方式等,从而降低与网络安全策略相关联的网络的网络安全性(例如,经由增加管理网络安全策略的难度)。另外,网络管理员可能缺乏基于计算机的技术,以用于基于网络安全策略的意图来管理网络安全策略。
本文中描述的一些实现提供了一种网络设备,其能够确定网络安全策略的意图和/或与网络安全策略相关联的各种安全规则将要应用的方式,并且对各种安全规则进行映射,以使得例如安全规则例外能够被映射到相应的安全规则,第一安全规则能够被映射到与第一安全规则相关的第二安全规则,等等。这经由跟踪对网络安全策略的意图的改变来支持对网络安全策略的改进管理,从而提高与网络安全策略相关联的网络的安全性。此外,这节省了原本由于网络安全性下降和/或以无意的方式使用网络而会消耗的处理资源。此外,这增加了当网络受到攻击(例如,以允许网络设备或网络管理员在攻击期间快速标识和修改安全规则)时分析网络安全策略以确定网络安全策略的意图已经改变的方式的效率。
图1A和1B是本文中描述的示例实现100的概述的图。如图1A所示,示例实现100可以包括网络设备和客户端设备。图1A和1B示出了确定网络安全策略的意图和/或安全规则(例如,要添加到网络安全策略的新的安全规则)将要应用的方式,并且基于网络安全策略的意图、安全规则将要应用的方式和/或现有安全规则将要应用的方式来将安全规则映射到现有安全规则的示例。
如图1A所示,并且如附图标记105所示,网络设备可以从客户端设备接收与安全规则集合相关联的第一信息。安全规则可以包括与网络访问、经由网络所允许的业务等相关的规则。在一些实现中,安全规则集合可以形成应用于(例如,组织的)网络业务、网络访问等的网络安全策略。
如图1A进一步所示,并且如附图标记110所示,安全规则可以包括第一信息,其指示安全规则将要应用于业务的方式。如图所示,第一信息可以标识源业务标准(例如,安全规则应用于的业务的源)、目的地业务标准(例如,安全规则应用于的业务的目的地)、标识安全动作的信息(例如,当网络设备确定安全规则要应用于业务时,网络设备将要执行的动作)等。
如图1A进一步所示,并且如附图标记115所示,网络设备可以使用第一信息来确定安全规则集合将要应用的方式。例如,网络设备可以解析(例如,分析)与安全规则集合相关的第一信息,以确定安全规则集合将要应用的方式。在这种情况下,网络设备可以使用自然语言处理技术来解析与规则集合相关的第一信息,以标识以下术语、短语等,该术语、短语等标识安全规则集合将要应用的方式。
如图1A进一步所示,并且如附图标记120所示,网络设备可以解析与特定安全规则相关联的第一信息,以标识安全规则集合将要应用的方式。例如,基于第一信息标识安全规则应用于首席财务官(CFO)而不是所有雇员,网络设备可以确定安全规则应用于特定雇员。作为另一示例,网络设备可以确定安全规则应用于以下业务,该业务的目的地为社交网站(例如,而不是其他类型的网站,诸如新闻网站、公司网站等)。作为又一示例,当安全规则应用时(例如,当业务来自CFO并且目的地是社交网站时),网络设备可以确定网络设备将允许业务。基于安全规则应用于雇员子集,网络设备可以确定安全规则旨在成为新的安全规则或现有安全规则的例外。
如图1B所示,并且如附图标记125所示,网络设备可以存储形成网络安全策略的先前定义的安全规则集合。例如,网络设备可以使用网络安全策略以经由与网络设备相关联的网络来管理业务。如在图1B进一步所示,并且如附图标记130所示,网络设备可以按类似于上述方式的方式来确定网络安全策略的意图和/或先前定义的安全规则将要应用的方式(例如,通过对与网络安全策略和/或先前定义的安全规则相关的第二信息进行解析)。
如图1B进一步所示,并且如附图标记135所示,网络设备可以确定从客户端设备接收的安全规则集合将要应用的方式与网络安全策略的意图和/或先前定义的安全规则集合将要应用的方式是否匹配(例如,以确定安全规则集合是否与网络安全策略的意图冲突,是否与先前定义的安全策略集合相关,等等)。在一些实现中,通过对所接收的安全规则集合将要应用的方式与网络安全策略的意图和/或先前定义的安全规则集合将要应用的方式进行比较,网络设备可以确定安全规则集合将要应用的方式和网络安全策略的意图和/或先前定义的安全规则集合将要应用的方式是否匹配。
例如,网络设备可以确定先前定义的安全规则集合和所接收的安全规则集合两者应用于目的地为相同目的地和/或相同类型的目的地的业务(例如,两者应用于目的地为社交网站的业务)。在这种情况下,基于确定先前定义的安全规则集合和所接收的安全规则集合两者应用于目的地为相同的目的地和/或相同类型的目的地的业务,网络设备可以确定安全规则集合与先前定义的安全规则集合相关。附加地或备选地,并且作为另一示例,网络设备可以确定安全规则集合与网络安全策略的意图冲突以拒绝到社交网站的业务(例如,基于允许到社交网站的业务的安全规则集合)。
在一些实现中,网络设备可以基于先前定义的安全规则集合与所接收的安全规则集合与相同的业务源和/或相同类型的业务源相关联来确定安全规则集合与先前定义的安全规则集合相关。例如,网络设备可以基于确定先前定义的安全规则集合应用于所有雇员并且所接收的安全规则集合应用于雇员子集(例如,CFO)来确定先前定义的安全规则集合与所接收的安全规则集合相关。
在一些实现中,网络设备可以确定所接收的安全规则集合和先前定义的安全规则集合与不同的安全动作相关联。在一些实现中,虽然规则基于其与相同的业务目的地和/或相同类型的业务源(例如,雇员)相关联而相关,但是基于所接收的安全规则集合与作为先前定义的安全规则集合的相同的业务源子集相关联和/或与不同的安全动作相关联,网络设备可以确定所接收的安全规则集将成为先前定义的安全规则集合的例外。附加地或备选地,基于安全规则集合与网络安全策略的意图冲突,网络设备可以确定安全规则集合将要被添加到网络安全策略以作为网络安全策略的例外。
如图1B进一步所示,并且如附图标记140所示,基于确定安全规则集合将要应用的方式与网络安全策略的意图和/或先前定义的安全规则集合将要应用的方式是否匹配,网络设备可以执行动作。例如,网络设备可以执行以下动作:实施所接收的安全规则集合、在网络安全策略中包括所接收的安全规则集合、标识冲突的安全规则、替换安全规则、更新安全规则、等等。
作为动作的特定示例,并且如附图标记145所示,网络设备可以在网络安全策略中包括所接收的安全规则集合中的特定安全规则,以作为先前定义的安全规则集合中的特定的先前定义的安全规则的例外。在这种情况下,网络设备可以在网络安全策略中包括指示特定的接收的安全规则是特定的先前定义的安全规则的例外、网络安全策略的意图的例外等的信息。例如,该信息可以允许网络管理员快速且容易地确定所接收的特定安全规则是特定的先前定义的安全规则的例外或与其相关(例如,通过生成指示特定的接收的安全性规则是特定的先前定义的安全规则的例外的规则编号,如“1.1”所示,其中“1.1”指示特定的接收的安全规则是先前定义的安全规则“1”的例外或与其相关)。
作为动作的另一示例,并且如附图标记150所示,网络设备可以提供指示网络安全策略已经利用所接收的安全规则集合进行了修改、所接收的安全规则集合中的所接收的特定安全规则是先前定义的特定安全规则的例外等的信息用于显示。
本文中描述的一些实现提供了一种网络设备,其能够确定网络安全策略的意图和/或与网络策略相关联的各种安全规则将要应用的方式并且对各种安全规则进行映射,以使得安全规则例外能够被映射到相应的安全规则,第一安全规则能够被映射到与第一安全规则相关的第二安全规则,等等。这经由跟踪对网络安全策略的意图的改变来支持对网络安全策略的管理的改进,从而提高与网络安全策略相关联的网络的安全性。此外,这节省了原本由于网络安全性下降和/或以无意的方式使用网络而会消耗的处理资源。此外,这增加了当网络受到攻击(例如,以允许网络设备或网络管理员在攻击期间快速标识和修改安全规则)时分析网络安全策略以确定安全策略的意图已经改变的方式的效率等等。此外,这允许有效地处理安全规则而无需人的主观性,从而相对于由人类行动者进行的处理,节省了处理资源同时减少了错误。
如上所述,图1A和1B仅作为示例提供。其他示例是可能的并且可以不同于关于图1A和1B描述的示例。例如,尽管图1A和1B示出了单个网络设备和单个客户端设备,但是实际上可以有数百、数千、数百万等的网络设备和/或客户端设备。作为另一示例,实际上,网络设备可以处理数千、数百万、数十亿等的安全规则。这样,网络设备可以处理不能由人类行动者手动地或客观地处理的安全规则集合。
图2是其中可以实现本文中描述的系统和/或方法的示例环境200的图。如图2所示,环境200可以包括网络设备210、客户端设备220和网络230。环境200的设备可以经由有线连接、无线连接或者有线和无线连接的组合来互连。
网络设备210包括能够接收、存储、处理、生成和/或提供与安全规则和/或网络安全策略相关的信息的一个或多个设备(例如,一个或多个业务传送设备)。例如,网络设备210可以包括防火墙、路由器、网关、交换机、集线器、网桥、反向代理、服务器(例如,代理服务器)、安全设备、入侵检测设备、负载平衡器或类似的设备。在一些实现中,如本文中其他地方所述,网络设备210可以从客户端设备220接收与要添加到网络安全策略的安全规则相关的信息。附加地或备选地,如本文中其他地方所述,网络设备210可以确定被包括在网络安全策略中的安全规则和/或另一安全规则将要应用的方式,和/或可以基于确定安全规则和/或另一安全规则将要应用的方式来将安全规则添加到网络安全策略。在一些实现中,网络设备210可以是利诸如机箱等壳体实施的物理设备。在一些实现中,网络设备210可以是由云计算环境或数据中心的一个或多个计算机设备实施的虚拟设备。虽然图2示出了单个网络设备210,但是实际上,可以有数百、数千、数百万等的网络设备210。
客户端设备220包括能够接收、生成、存储、处理和/或提供与安全规则和/或网络安全策略相关的信息的一个或多个设备。例如,客户端设备220可以包括移动电话(例如,智能电话、无线电话等)、膝上型计算机、平板电脑、手持式计算机、游戏设备、可穿戴通信设备(例如,智能电话手表、智能眼镜等)或类似的设备。在一些实现中,客户端设备220可以向网络设备210提供标识由客户端设备220的用户输入的安全规则的信息,如本文中其他地方所述。附加地或备选地,如本文中其他地方所述,客户端设备220可以从网络设备210接收标识将安全规则添加到网络安全策略的结果的信息。尽管图2示出了单个客户端设备220,但是实际上,可以有数百、数千、数百万等的客户端设备220。
网络230包括一个或多个有线和/或无线网络。例如,网络230可以包括蜂窝网络(例如,长期演进(LTE)网络、码分多址(CDMA)网络、3G网络、4G网络、5G网络或另一种类型的蜂窝网络)、公共陆地移动网络(PLMN)、局域网(LAN)、广域网(WAN)、城域网(MAN)、电话网络(例如,公共交换电话网络(PSTN))、专用网络、自组织网络、内联网、因特网、基于光纤的网络、云计算网络等、和/或这些或其他类型的网络的组合。
图2所示的设备和网络的数目和布置作为示例提供。实际上,可以存在与图2所示的那些相比更多的设备和/或网络、更少的设备和/或网络、不同的设备和/或网络、或者不同地布置的设备和/或网络。此外,图2所示的两个或更多个设备可以在单个设备内实施,或者图2所示的单个设备可以实现为多个分布式设备。附加地或备选地,环境200的设备集(例如,一个或多个设备)可以执行被描述为由环境200的另一设备集执行的一个或多个功能。
图3是设备300的示例组件的图。设备300可以对应于网络设备210和/或客户端设备220。在一些实现中,网络设备210和/或客户端设备220可以包括一个或多个设备300和/或设备300的一个或多个组件。如图3所示,设备300可以包括一个或多个输入组件305-1至305-B(B≥1)(下文中统称为“输入组件305”,并且单独称为“输入组件305”)、切换组件310、一个或多个输出组件315-1至315-C(C≥1)(下文中统称为“输出组件315”,并且单独称为“输出组件315”)和控制器320。
输入组件305可以是用于物理链路的附接点,并且可以是用于诸如分组等传入业务的入口点。输入组件305可以诸如通过执行数据链路层封装或解封装来处理传入业务。在一些实现中,输入组件305可以发送和/或接收分组。在一些实现中,输入组件305可以包括输入线路卡,输入线路卡包括一个或多个分组处理组件(例如,以集成电路的形式),诸如一个或多个接口卡(IFC)、分组转发组件、线路卡控制器组件、输入端口、处理器、存储器和/或输入队列。在一些实现中,设备300可以包括一个或多个输入组件305。
切换组件310可以将输入组件305与输出组件315互连。在一些实现中,切换组件310可以经由一个或多个交叉开关、经由总线和/或通过共享存储器来实现。共享存储器可以用作临时缓冲器,以在分组被最终调度以递送到输出组件315之前对来自输入组件305的分组进行存储。在一些实现中,切换组件310可以使得输入组件305、输出组件315和/或控制器320能够通信。
输出组件315可以存储分组并且可以调度分组以用于在输出物理链路上传输。输出组件315可以支持数据链路层封装或解封装、和/或各种更高级别的协议。在一些实现中,输出组件315可以发送分组和/或接收分组。在一些实现中,输出组件315可以包括输出线路卡,输出线路卡包括一个或多个分组处理组件(例如,以集成电路的形式),诸如一个或多个IFC、分组转发组件、线路卡控制器组件、输出端口、处理器、存储器和/或输出队列。在一些实现中,设备300可以包括一个或多个输出组件315。在一些实现中,输入组件305和输出组件315可以由相同的组件集合来实施(例如,输入/输出组件可以是输入组件305和输出组件315的组合)。
控制器320包括处理器,其可以是例如以下形式:中央处理单元(CPU)、图形处理单元(GPU)、加速处理单元(APU)、微处理器、微控制器、数字信号处理器(DSP)、现场可编程门阵列(FPGA)、专用集成电路(ASIC)和/或其他类型的处理器。处理器以硬件、固件或硬件和软件的组合来实施。在一些实现中,控制器320可以包括可以被编程为执行功能的一个或多个处理器。
在一些实现中,控制器320可以包括存储用于由控制器320使用的信息和/或指令的随机存取存储器(RAM)、只读存储器(ROM)和/或另一类型的动态或静态存储设备(例如,闪存、磁存储器、光存储器等)。
在一些实现中,控制器320可以与连接到设备300的其他设备、网络和/或系统通信以交换关于网络拓扑的信息。控制器320可以基于网络拓扑信息来创建路由表,基于路由表来创建转发表,并且将转发表转发给输入组件305和/或输出组件315。输入组件305和/或输出组件315可以使用转发表来执行针对传入和/或传出分组的路线的查找。
控制器320可以执行本文中描述的一个或多个过程。响应于执行由非暂态计算机可读介质存储的软件指令,控制器320可以执行这些处理。计算机可读介质在本文中被定义为非暂态存储器设备。存储器设备包括在单个物理存储设备内的存储器空间或分布在多个物理存储设备上的存储器空间。
软件指令可以经由通信接口从另一计算机可读介质或者从另一设备读入与控制器320相关联的存储器和/或存储组件。当被执行时,存储在与控制器320相关联的存储器和/或存储组件中的软件指令可以使控制器320执行本文中描述的一个或多个过程。附加地或备选地,可以使用硬连线电路代替软件指令或与软件指令相结合以执行本文中描述的一个或多个过程。因此,本文中描述的实现不限于硬件电路和软件的任何特定组合。
图3中所示的组件的数目和布置作为示例提供。实际上,设备300可以包括与图3所示的那些相比更多的组件、更少的组件、不同的组件或者不同地布置的组件。附加地或备选地,设备300的一组组件(例如,一个或多个组件)可以执行被描述为由设备300的另一组组件执行的一个或多个功能。
图4是用于基于意图的网络安全策略修改的示例过程400的流程图。在一些实现中,图4的一个或多个过程框可以由网络设备210执行。在一些实现中,图4的一个或多个过程框可以由独立于或包括网络设备210的另一设备或一组设备(诸如客户端设备220)来执行。图4示出了与以下操作相关的示例过程:接收与要添加到网络安全策略的安全规则相关的信息,并且确定安全规则将要应用的方式、网络安全策略和/或被包括在网络安全策略中的另一安全规则将要应用的方式,以确定安全规则将要添加到网络安全策略的方式,类似于上面关于图1A和1B所述。
如图4所示,过程400可以包括接收与安全规则集合相关联的第一信息(框410)。例如,网络设备210可以接收与要添加到网络安全策略的安全规则集合相关联的第一信息。在一些实现中,网络设备210可以根据时间表、基于客户端设备220的用户输入第一信息、基于请求第一信息(例如,从客户端设备220)等来周期性地接收第一信息。
在一些实现中,第一信息可以包括与安全规则的应用相关的信息,诸如标识安全规则将要应用于的业务的源(例如,用户、应用、应用类别、网站、地理位置、计算机设备、源网络地址等)的信息、标识安全规则将要应用于的业务的目的地(例如,应用、应用类别、网站、地理位置、用户、服务器设备、目的地网络地址等)的信息、网络设备210在安全规则应用于业务时将要执行的安全动作(例如,允许业务、拒绝业务、记录业务、重新路由业务、隔离业务等)等。
在一些实现中,第一信息可以包括关于安全规则的几项信息,诸如五项或更多项信息、十项或更多项信息、二十项或更多项信息等。因此,与单独使用源和目的地相比,第一信息的粒度可以细得多(并且因此更集中)。例如,第一信息可以包括关于以下各项的信息:与源或目的地相关联的端口、用于向和/或从源或目的地传送业务的信道、用于向和/或源或目的地传送业务的协议、与去往和/或来自源或目的地的业务相关联的流、与源或目的地相关联的数据中心、与源或目的地相关联的边缘设备、源或目的地与之通信的网络设备、与源或目的地相关联的实体等。
在一些实现中,安全规则可以包括与对网络230的访问、经由网络230允许的业务等相关的规则。在一些实现中,安全规则可以与网络安全策略相关联。例如,安全规则集合可以形成网络安全策略。在一些实现中,网络安全策略可以包括数千、数百万、数十亿、数万亿等的安全规则。
在一些实现中,网络安全策略可以具有意图或与意图相关联。例如,网络安全策略可以具有以下意图:允许与源和/或目的地相关联的所有业务、拒绝与源和/或目的地相关联的业务、在逐情况的基础上允许或拒绝业务、允许部分业务并且拒绝与源和/或目的地相关联的另一部分业务,等等。在一些实现中,网络安全策略的意图可以基于被包括在网络安全策略中的安全规则集合。附加地或备选地,网络安全策略的意图可以独立于网络安全策略中所包括的安全规则集合(例如,基于缺少来自网络安全策略的安全规则、标识用户体验受到网络安全策略的影响的方式的信息、来自客户端设备220的用户的输入、文档、标识网络安全策略的目标的信息等)。
在一些实现中,网络设备210可以存储要关于经由网络设备210交换的业务而使用的网络安全策略。在一些实现中,业务可以是指分组集合。在一些实现中,分组可以是指用于传送信息的通信结构,诸如协议数据单元(PDU)、网络分组、数据报、段、消息、块、小区、帧、子帧、时隙、符号、以上中的任何一项的一部分、和/或能够经由网络230传输的另一类型的格式化或未格式化的数据单元。
以这种方式,网络设备210可以接收与安全规则集合相关联的第一信息,从而允许网络设备210确定安全规则集合将要应用的方式。
如图4进一步所示,过程400可以包括使用第一信息来确定安全规则集合将要应用的方式(框420)。例如,网络设备210可以使用第一信息来确定安全规则集合将要应用的方式(例如,如本文中其他地方所述,以允许网络设备210确定安全规则集合是否与先前定义的安全规则集合相关、安全规则集合是否与网络安全策略的意图冲突,等等)。
在一些实现中,基于接收到安全规则、基于在接收到阈值数量的安全规则的第一信息之后接收到确定方式的指示(例如,从客户端设备220),等等,网络设备210可以确定该方式。在一些实现中,网络设备210可以基于来自客户端设备220的用户输入(例如,基于从预定义的方式集中的选择)来确定方式。
在一些实现中,网络设备210可以使用与安全规则相关联的第一信息来确定方式(例如,其中方式由安全动作、由标识安全规则将要应用于的业务的源/目的地的信息等来指示)。在一些实现中,网络设备210可以通过解析与安全规则相关联的第一信息,来确定安全规则将要应用的方式。例如,网络设备210可以标识被包括在第一信息中的标识符,该标识符标识网络设备210在安全规则应用于业务时将要执行的安全动作、安全规则将要应用于的业务的源、安全规则将要应用于的业务目的地等。
在一些实现中,网络设备210可以通过使用自然语言处理、文本分析、计算语言学等来确定方式(例如,以对标识安全规则将要应用的方式的术语、短语等进行标示)。例如,基于被包括在第一信息中的术语和/或短语指示安全规则将要应用于雇员或雇员子集,网络设备210可以确定安全规则将要应用于雇员或雇员子集。
在一些实现中,网络设备210可以通过使用机器学习来确定方式。例如,基于确定安全规则类似于网络设备210关于其被训练的安全规则集合,网络设备210可以确定安全规则将要应用的方式(例如,其中网络设备210关于标识各种安全规则和各种安全规则将要应用的相应方式的数据集被训练)。
在一些实现中,当使用机器学习时,网络设备210可以训练模型以确定安全规则将要应用的方式。例如,网络设备210可以训练模型以基于以下项目来确定方式:安全规则将要应用于的业务的目的地、安全规则将要应用于的业务的源、当安全规则应用时执行的安全动作等。在一些实现中,网络设备210外部的设备可以执行机器学习。例如,外部设备可以针对多个网络设备210执行机器学习,并且可以向多个网络设备210提供与机器学习的结果相关的信息,以允许网络设备210确定方式。在一些实现中,多个网络设备210可以向外部设备提供与标识安全规则将要应用的方式的结果相关的信息,诸如以改善外部设备的机器学习。
在一些实现中,使用机器学习可以允许网络设备210标识与安全规则相关的信息,其指示安全规则将要应用的方式。例如,网络设备210可以确定与标识安全规则将要应用于的业务的目的地的信息相比,标识安全规则将要应用于的业务的源的信息更多地指示安全规则将要应用的方式。这通过允许网络设备210快速且有效地确定安全规则将要应用的方式而节省了网络设备210的处理资源。在一些实现中,网络设备210可以对与安全规则相关的不同信息进行加权,并且可以使用安全规则的加权得分、关联于与安全规则相关的不同信息的权重的平均值等来确定安全规则将要应用的方式。
以这种方式,网络设备210可以使用第一信息来确定安全规则集合将要应用的方式,以便确定安全规则集合是否将要被添加到网络安全策略作为新的安全规则集合、作为先前定义的安全规则集合和/或网络安全策略的例外集合等。
如图4进一步所示,过程400可以包括使用第一信息和与先前定义的安全规则集合和/或网络安全策略相关联的第二信息来确定安全规则集合将要应用的方式与网络安全策略的意图和/或先前定义的安全性规则集合将要应用的方式是否匹配(框430)。例如,网络设备210可以使用第一信息和与网络安全策略相关联的第二信息来确定安全规则集合将要应用的方式与网络安全策略的意图是否匹配。附加地或备选地,并且作为另一示例,网络设备210可以使用第一信息和与先前定义的安全规则集合相关联的第二信息来确定安全规则集合将要应用的方式与先前定义的安全规则集合将要应用的方式是否匹配。
在一些实现中,网络设备210可以确定与安全规则集合相关联的方式与网络安全策略的意图和/或与先前定义的安全规则集合相关联的方式是否匹配,来确定安全规则集合是否与先前定义的安全规则集合相关、与网络安全策略冲突,等等。例如,这可以允许网络设备210确定安全规则集合是否是将要被添加到网络安全策略的新的安全规则集合、安全规则集合是否是先前定义的安全规则集合的例外、先前定义的安全规则集合是否是从客户端设备220接收的安全规则集合的例外集合、安全规则集合是否将要被更新、第一安全规则集合是否与第二安全规则集合相矛盾、所接收的安全规则集合是否不需要被添加到网络安全策略(例如,基于所接收的安全规则集合不与网络安全策略的意图冲突)等。
在一些实现中,先前定义的安全规则集合可以形成网络安全策略(例如,由网络设备210存储)。在一些实现中,第二信息可以包括与以上关于第一信息描述的信息类似的信息。附加地或备选地,第二信息可以包括标识网络安全策略的意图的信息(例如,标识用户体验的信息,其可以独立于被包括在网络安全策略中的安全规则)。在一些实现中,网络设备210可以以类似于以上关于框420描述的方式来确定网络安全策略的意图和/或先前定义的安全规则集合将要应用的方式。
附加地或备选地,并且关于确定网络安全策略的意图,网络设备210可以通过分析网络安全策略来确定网络安全策略的意图。例如,通过分析被包括在网络安全策略中的安全规则、标识没有被包括在网络安全策略中的安全规则的类型,等等,网络设备210可以确定用户体验受到网络安全策略的影响的方式。继续前面的示例,网络设备210可以确定网络安全策略的意图包括允许所有雇员访问社交网站(例如,基于网络安全策略包括允许所有雇员访问社交网站的安全规则、基于网络安全策略缺乏限制对社交网站的访问的安全规则、基于来自客户端设备220的标识所有雇员被允许访问社交网站的输入,等等)。
在一些实现中,当确定与安全规则集合相关联的方式和网络安全策略的意图和/或与先前定义的安全规则集合相关联的方式是否匹配时,网络设备210可以确定第一信息与第二信息是否匹配或它们的部分是否匹配。例如,网络设备210可以确定安全规则集合与先前定义的安全规则集合相比是否与相同的源、相同的目的地等相关联,安全规则集合是否以类似于网络安全策略的方式允许或拒绝业务,等等。继续前面的示例,当安全规则集合和先前定义的安全规则集合应用于相同的源、相同的目的地时,当与安全规则集合相关联的方式不同与网络安全策略相关联的意图冲突(例如,不拒绝网络安全策略允许的业务)时,等等,网络设备210可以确定与安全规则集合相关联的方式与网络安全策略的意图和/或与先前定义的安全规则集合相关联的方式匹配。
附加地或备选地,网络设备210可以执行与安全规则集合和网络安全策略和/或先前定义的安全规则集合相关的信息的加权匹配(例如,其中标识业务源的信息比标识业务目的地的信息具有更高加权)并且可以在与阈值权重相关联的信息匹配时确定匹配。附加地或备选地,网络设备210可以确定与安全规则集合和网络安全策略和/或先前定义的安全规则集合相关的信息的相似性度量。例如,相似性度量可以基于被包括在信息中的相似的术语和/或短语、安全规则集合和网络安全策略和/或先前定义的安全规则集合应用于相似类型的源或目的地(例如,应用、设备、地理位置等)等。附加地或备选地,网络设备210可以基于安全规则集合与网络安全策略和/或先前定义的安全规则集合之间匹配的信息的量来确定得分,并且可以在得分满足阈值时确定匹配。
在一些实现中,当第一信息和第二个信息不匹配时,网络设备210可以确定与安全规则集合相关联的方式与网络安全策略的意图和/或与先前定义的安全规则集合相关联的方式不匹配。例如,当安全规则集合和网络安全策略和/或先前定义的安全规则集合应用于不同的业务源、不同的业务目的地,导致不同的安全动作被实现,当安全规则集合与网络安全策略的意图冲突时(例如,通过拒绝网络安全策略意图允许的业务),等等,网络设备210可以确定与安全规则集合相关联的方式与网络安全策略的意图和/或与先前定义的安全规则集合相关联的方式不匹配。
在一些实现中,网络设备210可以确定安全规则集合与先前定义的安全规则集合是否相关(例如,其中安全规则集合可以是先前定义的安全规则集合的例外集合,或反之亦然)和/或安全规则集合是否与网络安全策略冲突(例如,其中安全规则集合将要被添加到网络安全策略作为网络安全策略的例外)。例如,当第一信息和第二信息的阈值量匹配时,网络设备210可以确定安全规则集合和先前定义的安全规则集合相关。附加地或备选地,并且作为另一示例,当安全规则集合以不同于网络安全策略的方式允许或拒绝业务,修改与网络安全策略相关联的用户体验,等等时,网络设备210可以确定安全规则集合与网络安全策略冲突。
在一些实现中,当安全规则集合规则与先前定义的安全规则集合和/或网络安全策略应用于相同类型的业务目的地、相同类型的业务源,与类似的安全动作相关联,不会修改用户体验,等等时,网络设备210可以确定安全规则集合与先前定义的安全规则集合相关和/或安全规则集合与网络安全策略不冲突。例如,当安全规则集合和先前定义的安全规则集合和/或网络安全策略应用于雇员时,即使这些应用于不同的雇员、不同类型的雇员,一个通常应用于雇员并且另一个应用于雇员子集,等等(例如,当第一信息和第二信息部分匹配时),网络设备210也可以确定安全规则集合与先前定义的安全规则集合相关和/或安全规则集合与网络安全策略不冲突。
附加地或备选地,作为另一示例,当安全规则集合和先前定义的安全规则集合两者应用于去往/来自应用的业务时,即使两者应用于不同的应用、不同类型的应用,一个通常应用于应用并且另一个应用于应用子集,等等(例如,当第一信息和第二信息部分匹配时),网络设备210也可以确定安全规则集合与先前定义的安全规则集合相关和/或安全规则集合与网络安全策略不冲突。以这种方式,当第一信息和第二信息部分匹配时,网络设备210可以确定安全规则集合与先前定义的安全规则集合相关和/或安全规则集合与网络安全策略不冲突。这提高了分析安全规则集合和相关的先前定义的安全规则集合和/或网络安全策略的准确性。
在一些实现中,网络设备210可以确定安全规则集合是否将要被添加到网络安全策略以作为新的安全规则集合(例如,通过确定是否将要修改与网络安全策略相关联的信息以包括以下信息,该信息将安全规则集合标识为新的安全规则集合)。例如,当网络设备210确定安全规则集合将要应用的方式与先前定义的安全规则集合将要应用的方式不匹配、安全规则集合与先前定义的安全规则集合不相关(例如,当第一信息和第二信息的阈值量不匹配时)、安全规则集合与网络安全策略的意图冲突,等等时,网络设备210可以确定安全规则集合将要被添加到网络安全策略作为新的安全规则集合。
在一些实现中,网络设备210可以确定:安全规则集合是否将要被包括在网络安全策略中,以作为先前定义的安全规则集合的例外集合(例如,可以确定是否将要修改与网络安全策略相关的信息,使得该信息将安全规则集合标识为先前定义的安全规则集合的例外集合)和/或作为网络安全策略的例外。例如,当网络设备210确定安全规则集合与先前定义的安全规则集合相关但是安全规则集合应用于先前定义的安全规则集合所应用于的业务的子集时,网络设备210可以确定安全规则集合将要被包括在网络安全策略中,以作为先前定义的安全规则集合的例外集合。
继续前面的示例,当先前定义的安全规则集合应用于去往/来自应用集合的业务、并且安全规则集合应用于去往/来自应用子集的业务时,网络设备210可以确定安全规则集合是先前定义的安全规则集合的例外集合。附加地或备选地,并且作为另一示例,基于确定安全规则集合将要应用的方式与网络安全策略的意图冲突,网络设备210可以确定安全规则集合将要被添加到网络安全策略以作为网络安全策略的例外。相反地,并且作为另一示例,当安全规则集合与网络安全策略的意图不冲突(例如,不会修改由网络安全策略定义的用户体验)时,网络设备210可以确定安全规则集合不需要被添加到网络安全策略。在一些实现中,网络设备210可以以类似的方式确定先前定义的安全规则集合是所接收的安全规则集合的例外集合。
以这种方式,在执行与网络安全策略、安全规则集合和/或先前定义的安全规则集合相关的动作之前,网络设备210可以确定安全规则集合将要应用的方式与网络安全策略的意图和/或先前定义的安全规则集合将要应用的方式是否匹配。
如图4进一步所示,过程400可以包括基于确定安全规则集合将要应用的方式与网络安全策略的意图和/或先前定义的安全规则集合将要应用的方式是否匹配来执行动作(框440)。例如,网络设备210可以基于确定安全规则集合将要应用的方式与网络安全策略的意图和/或先前定义的安全规则集合将要应用的方式是否匹配来执行动作。在一些实现中,在确定与安全规则集合相关联的方式与网络安全策略的意图和/或与先前定义的安全规则集合相关联的方式是否匹配之后,基于接收到执行动作的指示(例如,从客户端设备220),等等,网络设备210可以执行动作。
在一些实现中,当执行动作时,网络设备210可以将安全规则集合包括在网络安全策略中,该网络安全策略具有先前定义的安全规则集合。例如,网络设备210可以以这样的方式来包括安全规则集合,即该方式使得可以确定安全规则集合与先前定义的安全规则集合之间的关系(例如,通过修改与网络安全策略相关联的信息以标识关系)。继续前面的示例,网络设备210可以为先前定义的安全规则生成规则标识符和/或子规则标识符(如“1”),并且为添加到网络安全策略的安全规则生成“1.1”,其中“1.1”指示安全规则与关联于标识符“1”的先前定义的安全规则相关(例如,是其例外)。
附加地或备选地,当执行动作时,网络设备210可以从客户端设备220的用户请求确认(例如,通过提供信息用于经由客户端设备220来显示),以将安全规则集合包括在网络安全策略中和/或将要包括安全规则集合的方式。附加地或备选地,当执行动作时,网络设备210可以使用安全规则集合来过滤业务。例如,网络设备210可以使用添加了安全规则集合的网络安全策略来过滤业务(例如,拒绝业务,允许业务,记录业务,重新路由业务,隔离业务等)。附加地或备选地,当执行动作时,网络设备210可以生成与安全规则集合相关的报告、安全规则集合的所确定的意图、安全规则集合修改先前定义的安全规则集合的意图的方式等。附加地或备选地,当执行动作时,网络设备210可以提供所生成的报告以用于显示(例如,经由客户端设备220)。附加地或备选地,当执行动作时,基于安全规则集合,网络设备210可以配置一个或多个其他网络设备,更新服务器,等等。
以这种方式,网络设备210可以基于确定安全规则集合将要应用的方式与网络安全策略的意图和/或先前定义的安全规则集合将要应用的方式是否匹配来执行动作。
虽然图4示出了过程400的示例框,但是在一些实现中,过程400可以包括与图4中描绘的那些相比更多的框、更少的框、不同的框或不同地布置的框。附加地或备选地,过程400的两个或更多个框可以并行执行。
图5是用于基于意图的网络安全策略修改的示例过程500的流程图。在一些实现中,图5的一个或多个过程框可以由网络设备210执行。在一些实现中,图5的一个或多个过程框可以由独立于或包括网络设备210的另一设备或一组设备(诸如客户端设备220)来执行。图5示出与以下操作相关的示例过程:接收对安全规则集合的修改,并且基于对安全规则集合的修改来确定可能需要修改的附加安全规则集合。
如图5所示,过程500可以包括接收指示对被包括在网络安全策略中的安全规则集合的修改的信息(框510)。例如,网络设备210可以接收指示对被包括在网络安全策略中的安全规则集合的修改的信息。在一些实现中,网络设备210可以根据时间表、基于来自客户端设备220的用户的输入、基于请求信息等来周期性地接收信息。
在一些实现中,修改可以包括对与安全规则集合相关联的信息的修改,诸如对安全规则集合将要应用的方式的修改、对安全规则集合从网络安全策略中的移除的修改、对网络安全策略的意图的修改等。例如,修改可以包括对安全规则集合应用于的目的地和/或源的修改、对当安全规则集合应用于业务时将要执行的动作的修改等。在一些实现中,网络设备210可以接收对数千、数百万、数十亿等的安全规则的修改,从而接收修改不能由人类行动者手动或客观地处理的安全规则集合的指示。
以这种方式,在标识与被修改的安全规则集合相关的相应的安全规则集合之前,网络设备210可以接收以下信息:该信息指示对被包括在网络安全策略中的安全规则集合的修改。
如图5进一步所示,过程500可以包括使用指示修改的信息和/或与相应的安全规则集合和/或安全规则集合相关的其他信息来标识与被修改的安全规则集合相关的相应的安全规则集合(框520)。例如,网络设备210可以使用标识与相应的安全规则集合和/或安全规则集合相关的修改和/或其他信息的信息来标识与被修改的安全规则集合相关的相应安全规则集合(例如,使得网络设备210可以基于对安全规则集合的修改来修改相应安全规则集合)。在一些实现中,网络设备210可以标识与数千、数百万、数十亿等的其他安全规则相对应的数千、数百万、数十亿等的安全规则。以这种方式,网络设备210可以处理不能由人类行动者手动或客观地处理的一定数量的安全规则。
在一些实现中,网络设备210可以使用一种或多种技术来标识相应的安全规则集合。例如,网络设备210可以基于指示第一安全规则和第二安全规则相关(例如,指示第一安全规则是第二安全规则的例外,类似于上述标识符“1”和“1.1”)的标识符来标识相应安全规则集合。
在一些实现中,网络设备210可以基于相应的安全规则集合将要应用的方式和/或安全规则集合将要应用的方式来标识相应的安全规则集合。例如,网络设备210可以确定被修改的安全规则集合将要应用的方式,并且可以标识相应的安全规则集合,其中被修改的安全规则集合将要应用的方式与另一安全规则集合将要应用于的方式匹配。图4中描述了网络设备210可以确定安全规则集合将要应用的方式是否与另一安全规则集合将要应用的方式匹配的各种方法。在一些实现中,网络设备210可以按类似于本文中其他地方描述的方式来确定安全规则集合和/或另一安全规则集合将要应用的方式。
在一些实现中,网络设备210可以基于来自客户端设备220的用户的输入来标识相应的安全规则集合,该输入标识相应的安全规则集合。例如,当网络设备210接收标识对安全规则集合的修改的信息时,网络设备210可以接收标识相应的安全规则集合的信息(例如,与被修改的安全规则集合相关的例外集合、被修改的安全规则集合是其例外的安全规则集合等)。
在一些实现中,网络设备210可以提供标识安全规则集合和/或相应的安全规则集合的信息,以用于经由客户端设备220来显示(例如,在网络设备210标识出相应的安全规则集合之后)。例如,网络设备210可以提供用于显示的信息,以向客户端设备220的用户请求确认网络设备210准确地标识了相应的安全规则集合。在一些实现中,网络设备210可以存储与被修改的安全规则集合和网络设备210所标识的相应的安全规则集合相关的信息,例如以改善相应的安全规则集合的将来的标识(例如,由网络设备210和/或另一网络设备210)。
以这种方式,网络设备210可以使用标识修改的信息和/或与相应的安全规则集合和/或安全规则集合相关的其他信息来标识与被修改的安全规则集合相关的相应安全规则集合,以允许网络设备210确定修改安全规则集合和/或相应安全规则集合。
如图5进一步所示,过程500可以包括确定修改安全规则集合和/或相应安全规则集合(框530)。例如,网络设备210可以确定修改安全规则集合和/或相应安全规则集合(例如,使得相应安全规则集合和被修改的安全规则集合一致)。在一些实现中,网络设备210可以确定修改数千、数百万、数十亿等的安全规则和/或相应的安全规则,从而确定处理不能由人类行动者手动或客观地处理的安全规则集合和/或相应的安全规则集合。
在一些实现中,网络设备210可以基于相应安全规则集合将要相对于修改所应用的方式来确定修改安全规则集合和/或相应的安全规则集合。例如,网络设备210可以基于对安全规则集合的修改来确定不再需要相应的安全规则集合。继续前面的示例,如果修改将安全规则集合从拒绝社交媒体业务改变为允许社交媒体业务,则网络设备210可以确定不再需要允许针对特定雇员的社交媒体业务的相应的安全规则集合(例如,由于安全规则将要应用的方式从拒绝社交媒体业务改变为允许社交媒体业务)。在这种情况下,网络设备210可以确定相应的安全规则集合将要被修改或从网络安全策略中移除。
附加地或备选地,并且作为另一示例,网络设备210可以确定相应的安全规则集合与对安全规则集合的修改冲突。继续前面的示例,如果对安全规则集合的修改允许针对特定雇员的社交媒体业务,则网络设备210可以确定拒绝针对特定雇员的社交媒体业务的相应的安全规则集合与对安全规则集合的修改冲突并且将要被修改或从网络安全策略中移除。
在一些实现中,网络设备210可以基于对安全规则集合的修改来确定修改安全规则集合和/或相应安全规则集合。例如,网络设备210可以确定修改相应安全规则集合以包括与对安全规则集合进行的修改相同的修改、可以确定修改相应的安全规则集合使得相应的安全规则集合在修改之后不再与安全规则集合冲突,等等。在一些实现中,如本文中其他地方所述,当修改安全规则集合和/或相应的安全规则集合时,网络设备210可以修改被包括在网络安全策略中的信息(例如,存储与形成网络安全策略的安全规则集合相关的信息的数据结构中的信息)。
在一些实现中,网络设备210可以基于从客户端设备220的用户请求和/或接收到修改安全规则集合和/或相应的安全规则集合的指示来修改安全规则集合和/或相应安全规则集合。例如,网络设备210可以从客户端设备220的用户请求和/或接收到与要修改哪些安全规则集合和/或相应安全规则集合相关的指示。附加地或备选地,并且作为另一示例,网络设备210可以提供指示对需要修改的安全规则集合和/或相应的安全规则集合的修改的信息用于显示,并且可以向网络设备210的用户请求对修改的确认。
在一些实现中,网络设备210可以确定移除安全规则集合。例如,如果相应的安全规则集合不再需要和/或与已修改的安全规则集合冲突,则网络设备210可以确定移除相应的安全规则集合。通过减少网络设备210存储的安全规则的数量,这节省了网络设备210的存储资源。另外,通过减少网络设备210在使用网络安全策略处理业务时必须处理的安全规则的数量,这节省了网络设备210的处理资源。
以这种方式,网络设备210可以在执行与安全规则集合和/或相应的安全规则集合相关的动作之前确定修改安全规则集合和/或相应的安全规则集合。
如图5进一步所示,过程500可以包括执行与安全规则集合和/或相应安全规则集合相关的动作(框540)。例如,网络设备210可以执行与安全规则集合和/或相应安全规则集合相关的动作。在一些实现中,网络设备210可以执行与数千、数百万、数十亿等的安全规则和/或相应的安全规则相关的动作,从而处理不能由人类行动者手动或客观地处理的安全规则集合。
在一些实现中,例如,网络设备210可以修改安全规则集合和/或相应安全规则集合(例如,安全规则集合的例外集合),诸如通过修改与安全规则集合和/或相应安全规则集合相关的信息。附加地或备选地,并且作为另一示例,网络设备210可以生成指示安全规则集合和/或相应的安全规则集合被修改的方式的报告。附加地或备选地,并且作为另一示例,网络设备210可以提供报告以用于经由客户端设备220来显示。附加地或备选地,并且作为另一示例,网络设备210可以存储与修改相关的信息(例如,以允许网络设备210反向修改,推荐对另一安全规则集合和/或另一相应的安全规则集合的修改,允许另一网络设备210推荐对安全规则集合和/或相应的安全规则集合的修改,等等)。
以这种方式,网络设备210可以执行与安全规则集合和/或相应的安全规则集合相关的动作。
尽管图5示出了过程500的示例框,但是在一些实现中,过程500可以包括与图5中描绘的那些相比不同的框、更少的框、不同的框或不同地布置的框。附加地或备选地,过程500的两个或更多个框可以并行执行。
图6是用于基于意图的网络安全策略修改的示例过程600的流程图。在一些实现中,图6的一个或多个过程框可以由网络设备210执行。在一些实现中,图6的一个或多个过程框可以由独立于或包括网络设备210的另一设备或一组设备(诸如客户端设备220)来执行。图6示出了与映射网络安全策略的安全规则(例如,组织网络安全策略以使得安全规则和相应的例外被映射)相关的示例过程。
如图6所示,过程600可以包括接收对安全规则集合和与安全规则集合相关的相应的安全规则集合进行映射的指示(框610)。例如,网络设备210可以接收映射安全规则集合和与安全规则集合相关的相应安全规则集合的指示。在一些实现中,网络设备210可以根据时间表、基于来自客户端设备220的用户的输入、基于请求来自客户端设备220的用户的输入等来周期性地接收指示。
在一些实现中,指示可以包括对被包括在网络安全策略中的安全规则集合进行映射的指示。例如,指示可以包括将安全规则例外映射到相应的安全规则的指示。在一些实现中,网络设备210可以接收映射数千、数百万、数十亿等的安全规则的指示。以这种方式,网络设备210可以接收映射不能被人类行动者手动或客观地映射的安全规则集合的指示。
以这种方式,在确定安全规则集合将要应用的方式和相应的安全规则集合将要应用的方式之前,网络设备210可以接收对安全规则集合和与安全规则集合相关的相应的安全规则集合进行映射的指示。
如图6进一步所示,过程600可以包括使用与安全规则集合和/或相应安全规则集合相关的信息来确定安全规则集合将要应用的方式和/或相应安全规则集合将要应用的方式(框620)。例如,网络设备210可以使用与安全规则集合和/或相应安全规则集合相关的信息来确定安全规则集合将要应用的方式和相应安全规则集合将要应用的方式。在一些实现中,网络设备210可以按与上面关于图4描述的方式类似的方式来确定安全规则集合将要应用的方式和/或相应安全规则集合将要应用的方式。在一些实现中,网络设备210可以确定安全规则集合将要应用的方式和/或相应的安全规则集合将要应用的方式,以允许网络设备210标识与安全规则集合相关的相应安全规则集合。
在一些实现中,网络设备210可以确定与数千、数百万、数十亿等的安全规则相关联的方式。以这种方式,网络设备210可以确定与不能由人类行动者手动或客观地处理的安全规则集合相关联的方式。
以这种方式,网络设备210可以使用与安全规则集合和/或相应安全规则集合相关的信息来确定安全规则集合将要应用的方式和/或相应安全规则集合将要应用的方式。
如图6进一步所示,过程600可以包括基于安全规则集合将要应用的方式和/或相应安全规则集合将要应用的方式来对安全规则集合和相应安全规则集合进行映射(框630)。例如,网络设备210可以基于安全规则集合将要应用的方式和/或相应的安全规则集合将要应用的方式来对安全规则集合和相应的安全规则集合进行映射。在一些实现中,网络设备210可以映射数千、数百万、数十亿等的安全规则。以这种方式,网络设备210可以映射不能被人类行动者手动或客观地映射的安全规则集合。
在一些实现中,当对安全规则集合和相应安全规则集合进行映射时,网络设备210可以确定两个或更多个安全规则是否相关。例如,如本文中其他地方所述,基于两个或更多个安全规则应用于相同的业务源、相同的业务目的地,基于安全规则应用于另一安全规则的业务的子集,等等,网络设备210可以确定两个或更多个安全规则相关。
在一些实现中,当对安全规则集合和相应的安全规则集合进行映射时,网络设备210可以对相关的安全规则进行映射。例如,当第一安全规则和第二安全规则相关时(诸如当第一安全规则应用于与第二安全规则相同的业务的子集时),网络设备210可以对第一安全规则和第二安全规则进行映射(例如,第一安全规则可以是第二安全规则的例外)。
以这种方式,在执行与安全规则集合和/或相应的安全规则集合相关的动作之前,网络设备210可以基于安全规则集合将要应用的方式和/或相应的安全规则集合将要应用的方式来对安全规则集合和相应安全规则集合进行映射。
如图6进一步所示,过程600可以包括基于对安全规则集合和相应安全规则集合进行映射来执行与安全规则集合和/或相应的安全规则集合相关的动作(框640)。例如,网络设备210可以基于映射安全规则集合和相应安全规则集合来执行与安全规则集合和/或相应安全规则集合相关的动作。在一些实现中,网络设备210可以执行与数千、数百万、数十亿等的安全规则和/或相应的安全规则相关的动作。以这种方式,网络设备210可以执行与不能由人类行动者手动或客观地处理的安全规则集合相关的动作。
在一些实现中,例如,网络设备210可以修改网络安全策略,以包括以下信息,该信息标识安全规则集合和/或与安全规则集合相关的相应的安全规则集合。例如,网络设备210可以修改网络安全策略以包括以下信息,该信息标识第一安全规则是第二安全规则的例外(例如,类似于上述规则标识符和子规则标识符)。
附加地或备选地,并且作为另一示例,网络设备210可以生成指示安全规则集合和相应安全规则集合的映射的报告。在这种情况下,网络设备210可以向客户端设备220提供报告以经由客户端设备220进行显示。附加地或备选地,并且作为另一示例,网络设备210可以存储与映射安全规则集合和/或相应安全规则集合相关的信息(例如,以允许网络设备210反转映射,改进将来的映射,改进另一网络设备210的将来的映射,等等)。
以这种方式,网络设备210可以基于对安全规则集合和相应安全规则集合进行映射来执行与安全规则集合和/或相应安全规则集合相关的动作。
虽然图6示出了过程600的示例框,但是在一些实现中,过程600可以包括与图6中描绘的那些相比更多的框、更少的框、不同的框或不同地布置的框。附加地或备选地,过程600的两个或更多个框可以并行执行。另外,尽管分开描述,但是图4、5和6可以同时、顺序地、在不同的时间、同时、按顺序地、无序地执行。
本文中描述的一些实现提供了一种网络设备,其能够确定与网络安全策略相关联的各种安全规则的意图并且对各种安全规则进行映射,以使得安全规则例外能够被映射到相应的安全规则,第一安全规则能够被映射到与第一安全规则相关的第二安全规则,等等。这经由跟踪对网络安全策略的意图的改变来支持对网络安全策略的管理的改进,从而提高与网络安全策略相关联的网络的安全性。此外,这节省了原本由于网络安全性下降和/或以无意的方式使用网络而会消耗的处理资源。此外,这增加了当网络受到攻击(例如,以允许网络设备或网络管理员在攻击期间快速标识和修改安全规则)时分析网络安全策略以确定网络安全策略的意图已经改变的方式的效率等。
前述公开内容提供了说明和描述,但是并非旨在穷尽或将实现限制于所公开的精确形式。修改和变化鉴于上述公开内容是可能的,或者可以从实现的实践中获取。
如本文中使用的,术语组件旨在被广义地解释为硬件、固件和/或硬件和软件的组合。
本文中结合阈值描述了一些实现。如本文中使用的,满足阈值可以是指大于阈值、多于阈值、高于阈值、大于或等于阈值、小于阈值、少于阈值、低于阈值的值、小于或等于阈值、等于阈值等。
显而易见的是,本文中描述的系统和/或方法可以以不同形式的硬件、固件或者硬件和软件的组合来实现。用于实施这些系统和/或方法的实际专用控制硬件或软件代码不是对实现的限制。因此,本文中描述系统和/或方法的操作和行为,而没有参考具体的软件代码,应当理解,软件和硬件可以被设计为基于本文中的描述来实施系统和/或方法。
尽管特征的特定组合在权利要求中列举和/或在说明书中公开,但是这些组合不意图限制可能实现的公开内容。实际上,这些特征中的很多特征可以以未在权利要求中具体记载和/或在说明书中公开的方式组合。尽管下面列出的每个从属权利要求可以仅直接引用一项权利要求,但是可能的实现的公开内容包括每个从属权利要求与权利要求集合中的每个其他权利要求的组合。
除非明确地如此描述,否则本文中使用的任何元素、动作或指令都不应当被解释为是关键或必要的。而且,如本文中使用的,冠词“一个(a)”和“一个(an)”旨在包括一个或多个项目,并且可以与“一个或多个”可互换地使用。此外,如本文中使用的,术语“集合”旨在包括一个或多个项目(例如,相关项目、不相关项目、相关项目和不相关项目的组合等),并且可以与“一个或多个”可互换地使用。如果预期只有一个项目,则使用术语“一个(one)”或类似的语言。而且,如本文中使用的,术语“具有(has)”、“具有(have)”、“具有(having)”等旨在是开放式术语。此外,除非另有明确说明,否则短语“基于”旨在表示“至少部分基于”。
Claims (20)
1.一种设备,包括:
用于接收与安全规则集合相关联的第一信息的部件,
所述第一信息从另一设备接收并且要用于修改网络安全策略,
所述网络安全策略包括先前定义的安全规则集合,
所述网络安全策略具有以下意图:所述意图独立于被包括在所述网络安全策略中的所述先前定义的安全规则集合;
用于使用所述第一信息确定所述安全规则集合将要应用的方式的部件,
所述安全规则集合将要应用的所述方式要用于确定:所述安全规则集合是否与所述网络安全策略的所述意图冲突或者与所述先前定义的安全规则集合相关;
用于使用所述第一信息和第二信息来确定所述安全规则集合将要应用的所述方式与所述网络安全策略的所述意图或所述先前定义的安全规则集合将要应用的方式是否匹配的部件,
所述第二信息与所述网络安全策略相关联,或者
所述第二信息与所述先前定义的安全规则集合相关联;以及用于基于确定所述安全规则集合将要应用的所述方式与所述网络安全策略的所述意图或所述先前定义的安全规则集合将要应用的所述方式是否匹配来执行动作的部件,
所述动作涉及基于所述安全规则集合来修改所述网络安全策略。
2.根据权利要求1所述的设备,还包括:
用于接收第三信息的部件,所述第三信息指示对被包括在所述网络安全策略中的安全规则子集的修改;
用于使用所述第一信息、所述第二信息或所述第三信息来标识与所述安全规则子集相关的相应安全规则集合的部件,
所述相应安全规则集合包括所述安全规则集合中的一个或
多个安全规则或者所述先前定义的安全规则集合中的一个或多个安全规则;以及
用于确定要修改所述安全规则子集或所述相应安全规则集合的部件。
3.根据权利要求1所述的设备,还包括:
用于对被包括在所述网络安全策略中的安全规则子集和相应安全规则集合进行映射的部件,
所述相应安全规则集合包括所述安全规则集合或所述先前定义的安全规则集合中的一个或多个安全规则。
4.根据权利要求1所述的设备,其中用于确定所述安全规则集合将要应用的所述方式的所述部件包括:
用于使用来自所述另一设备的用户的输入来确定所述安全规则集合将要应用的所述方式的部件。
5.根据权利要求1所述的设备,还包括:
用于确定所述第一信息和所述第二信息的阈值量是否匹配的部件;以及
用于确定所述安全规则集合将要应用的所述方式与所述网络安全策略的所述意图或所述先前定义的安全规则集合将要应用的所述方式是否匹配的所述部件包括:
用于基于确定所述第一信息和所述第二信息的所述阈值量是否匹配,来确定所述安全规则集合将要应用的所述方式与所述网络安全策略的所述意图或所述先前定义的安全规则集合将要应用的所述方式是否匹配的部件。
6.根据权利要求1所述的设备,还包括:
用于基于确定所述安全规则集合将要应用的所述方式与所述安全规则集合的所述意图或所述先前定义的安全规则集合将要应用的所述方式是否匹配,来确定所述安全规则集合与所述先前定义的安全规则集合是否相关或者所述安全规则集合是否与所述网络安全策略冲突的部件。
7.根据权利要求1所述的设备,其中用于执行所述动作的部件包括:
用于修改所述网络安全策略以包括标识所述安全规则集合的信息的部件。
8.一种方法,包括:
由设备接收与安全规则集合相关联的第一信息,
所述第一信息允许对以下各项的标识:
所述安全规则集合将要应用的业务,或者
所述设备将要关于所述业务执行的安全动作集合;
由所述设备使用所述第一信息来确定所述安全规则集合将要应用的方式;
由所述设备确定所述安全规则集合将要应用的所述方式与网络安全策略的意图或先前定义的安全规则集合将要应用的方式是否匹配,
所述网络安全策略的所述意图或所述先前定义的安全规则集合将要应用的所述方式是使用与所述先前定义的安全规则集合或所述网络安全策略相关联的第二信息来被确定,
所述第一信息和所述第二信息将被比较以确定所述安全规则集合将要应用的所述方式与所述网络安全策略的所述意图或
所述先前定义的安全规则集合将要应用的所述方式是否匹配;以及
由所述设备基于确定所述安全规则集合将要应用的所述方式与所述网络安全策略的所述意图或所述先前定义的安全规则集合将要应用的所述方式是否匹配来执行动作。
9.根据权利要求8所述的方法,还包括:
基于确定所述安全规则集合将要应用的所述方式与所述先前定义的安全规则集合将要应用的所述方式是否匹配来确定所述安全规则集合和所述先前定义的安全规则集合是否相关。
10.根据权利要求8所述的方法,其中确定所述安全规则集合将要应用的所述方式包括:
使用自然语言处理技术标识被包括在所述第一信息中的术语或短语来确定所述安全规则集合将要应用的所述方式。
11.根据权利要求8所述的方法,其中执行所述动作包括:
修改与所述网络安全策略相关的信息,以标识所述安全规则集合与所述先前定义的安全规则集合之间的关系。
12.根据权利要求8所述的方法,还包括:
使用所述第一信息或所述第二信息来标识与安全规则子集相关的相应安全规则集合。
13.根据权利要求8所述的方法,还包括:
对安全规则子集和相应安全规则集合进行映射,以允许所述安全规则子集与所述相应安全规则集合之间的关系的标识。
14.一种非暂态计算机可读介质,所述非暂态计算机可读介质存储指令,所述指令包括:
一个或多个指令,所述一个或多个指令在由一个或多个处理器执行时使所述一个或多个处理器:
接收与安全规则集合相关联的第一信息,
所述第一信息标识:
所述安全规则集合将要应用的业务,或者
设备在所述安全规则集合应用于业务时将要实施的安全动作集合;
使用所述第一信息来确定所述安全规则集合将要应用的方式,
所述安全规则集合将要应用的所述方式使用处理所述第一信息的技术来确定;
确定所述安全规则集合将要应用的所述方式与网络安全策略的意图或先前定义的安全规则集合将要应用的方式是否匹配,
以确定所述安全规则集合是否与所述网络安全策略冲突或者所述安全规则集合与所述先前定义的安全规则集合是否相关;以及
基于确定所述安全规则集合将要应用的所述方式与所述网络安全策略的所述意图或所述先前定义的安全规则集合将要应用的所述方式是否匹配来执行动作,
所述动作涉及基于所述安全规则集合来修改所述网络安全策略。
15.根据权利要求14所述的非暂态计算机可读介质,其中所述一个或多个指令在由所述一个或多个处理器执行时还使所述一个或多个处理器:
分析所述第一信息以确定以下信息:所述信息标识所述安全规则集合将要应用的所述方式。
16.根据权利要求14所述的非暂态计算机可读介质,其中所述一个或多个指令在由所述一个或多个处理器执行时还使所述一个或多个处理器:
确定是否将要修改与所述网络安全策略相关的信息以包括将所述安全规则集合标识为新的安全规则集合的信息;以及
其中使所述一个或多个处理器执行所述动作的所述一个或多个指令使所述一个或多个处理器:
在确定是否将要修改与所述网络安全策略相关的所述信息之后执行所述动作。
17.根据权利要求14所述的非暂态计算机可读介质,其中所述一个或多个指令在由所述一个或多个处理器执行时还使所述一个或多个处理器:
接收第二信息,所述第二信息指示对被包括在所述网络安全策略中的安全规则子集的修改;以及
使用所述第一信息、所述第二信息或与所述先前定义的安全规则集合相关联的第三信息来标识与所述安全规则子集相关的相应安全规则集合。
18.根据权利要求14所述的非暂态计算机可读介质,其中所述一个或多个指令在由所述一个或多个处理器执行时还使所述一个或多个处理器:
接收对安全规则子集与相应的安全规则集合进行映射的指示;以及
对所述安全规则子集与所述相应安全规则集合进行映射。
19.根据权利要求14所述的非暂态计算机可读介质,其中所述一个或多个指令在由所述一个或多个处理器执行时还使所述一个或多个处理器:
确定所述安全规则集合是否将要作为所述先前定义的安全规则集合的例外集合而被包括在所述网络安全策略中;以及
其中使所述一个或多个处理器执行所述动作的所述一个或多个指令使所述一个或多个处理器:
在确定所述安全规则集合是否将要被包括在所述网络安全策略中作为所述例外集合之后执行所述动作。
20.根据权利要求14所述的非暂态计算机可读介质,其中使所述一个或多个处理器执行所述动作的所述一个或多个指令使所述一个或多个处理器:
生成与所述安全规则集合或所述先前定义的安全规则集合相关的报告;以及
向另一设备提供所述报告以用于显示。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US15/637,789 | 2017-06-29 | ||
US15/637,789 US10944793B2 (en) | 2017-06-29 | 2017-06-29 | Rules-based network security policy modification |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109218281A true CN109218281A (zh) | 2019-01-15 |
CN109218281B CN109218281B (zh) | 2021-06-25 |
Family
ID=62495592
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810555782.3A Active CN109218281B (zh) | 2017-06-29 | 2018-05-31 | 基于意图的网络安全策略修改 |
Country Status (3)
Country | Link |
---|---|
US (1) | US10944793B2 (zh) |
EP (1) | EP3422663B1 (zh) |
CN (1) | CN109218281B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111191110A (zh) * | 2019-05-17 | 2020-05-22 | 延安大学 | 一种用户意图估计方法 |
CN114726724A (zh) * | 2020-12-22 | 2022-07-08 | 诺基亚通信公司 | 使用网络变化验证的基于意图的组网 |
Families Citing this family (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10616280B2 (en) * | 2017-10-25 | 2020-04-07 | Bank Of America Corporation | Network security system with cognitive engine for dynamic automation |
US10503627B2 (en) | 2017-10-30 | 2019-12-10 | Bank Of America Corporation | Robotic process automation enabled file dissection for error diagnosis and correction |
US10575231B2 (en) | 2017-11-03 | 2020-02-25 | Bank Of America Corporation | System for connection channel adaption using robotic automation |
US10606687B2 (en) | 2017-12-04 | 2020-03-31 | Bank Of America Corporation | Process automation action repository and assembler |
US11038770B2 (en) | 2018-02-01 | 2021-06-15 | Keysight Technologies, Inc. | Methods, systems, and computer readable media for managing deployment and maintenance of network tools |
US10771342B2 (en) | 2018-10-31 | 2020-09-08 | Hewlett Packard Enterprises Development LP | Encoding and verifying network intents for stateful networks |
US10938667B2 (en) * | 2018-12-20 | 2021-03-02 | Hewlett Packard Enterprise Development Lp | Incremental intent checking for stateful networks |
US11451514B2 (en) * | 2019-01-03 | 2022-09-20 | Illumio, Inc. | Optimizing rules for configuring a firewall in a segmented computer network |
US10951509B1 (en) | 2019-06-07 | 2021-03-16 | Keysight Technologies, Inc. | Methods, systems, and computer readable media for providing intent-driven microapps for execution on communications network testing devices |
CN112448919B (zh) * | 2019-08-30 | 2023-04-07 | 中国电信股份有限公司 | 网络异常检测方法、装置和系统、计算机可读存储介质 |
CN112583629B (zh) * | 2019-09-30 | 2022-06-10 | 华为技术有限公司 | 一种信息处理方法、相关设备及计算机存储介质 |
US11489745B2 (en) | 2019-10-15 | 2022-11-01 | Keysight Technologies, Inc. | Methods, systems and computer readable media for providing a declarative network monitoring environment |
US11792228B2 (en) * | 2020-01-22 | 2023-10-17 | Sophos Limited | Systems and methods for network security |
CN111709014B (zh) * | 2020-05-27 | 2022-06-07 | 浪潮电子信息产业股份有限公司 | 一种应用隔离方法、系统、设备及计算机可读存储介质 |
US11792230B2 (en) * | 2021-09-13 | 2023-10-17 | Cisco Technology, Inc. | Resolving access policies between intent-based network architectures and cloud native architectures |
CN117353958A (zh) * | 2022-06-29 | 2024-01-05 | 华为技术有限公司 | 一种安全策略的处理方法及相关装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1760791A (zh) * | 2004-10-14 | 2006-04-19 | 微软公司 | 用于合并安全策略的方法和系统 |
US20070174106A1 (en) * | 2006-01-26 | 2007-07-26 | Chris Aniszczyk | Method for reducing implementation time for policy based systems management tools |
US7505463B2 (en) * | 2004-06-15 | 2009-03-17 | Sun Microsystems, Inc. | Rule set conflict resolution |
CN101505302A (zh) * | 2009-02-26 | 2009-08-12 | 中国联合网络通信集团有限公司 | 安全策略的动态调整方法和系统 |
CN104883347A (zh) * | 2014-09-28 | 2015-09-02 | 北京匡恩网络科技有限责任公司 | 一种网络安全规则冲突分析与简化方法 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040177139A1 (en) * | 2003-03-03 | 2004-09-09 | Schuba Christoph L. | Method and apparatus for computing priorities between conflicting rules for network services |
US7882539B2 (en) | 2006-06-02 | 2011-02-01 | Microsoft Corporation | Abstracting security policy from, and transforming to, native representations of access check mechanisms |
US8429255B1 (en) | 2010-01-27 | 2013-04-23 | Juniper Networks, Inc. | Determining reorder commands for remote reordering of policy rules |
US20180139096A1 (en) | 2015-05-15 | 2018-05-17 | Hewlett Packard Enterprise Development Lp | Composition constraints for network policies |
KR102000416B1 (ko) * | 2016-05-09 | 2019-07-15 | 스트롱 포스 아이오티 포트폴리오 2016, 엘엘씨 | 산업용 사물 인터넷을 위한 방법들 및 시스템들 |
-
2017
- 2017-06-29 US US15/637,789 patent/US10944793B2/en active Active
-
2018
- 2018-05-30 EP EP18175124.9A patent/EP3422663B1/en active Active
- 2018-05-31 CN CN201810555782.3A patent/CN109218281B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7505463B2 (en) * | 2004-06-15 | 2009-03-17 | Sun Microsystems, Inc. | Rule set conflict resolution |
CN1760791A (zh) * | 2004-10-14 | 2006-04-19 | 微软公司 | 用于合并安全策略的方法和系统 |
US20070174106A1 (en) * | 2006-01-26 | 2007-07-26 | Chris Aniszczyk | Method for reducing implementation time for policy based systems management tools |
CN101505302A (zh) * | 2009-02-26 | 2009-08-12 | 中国联合网络通信集团有限公司 | 安全策略的动态调整方法和系统 |
CN104883347A (zh) * | 2014-09-28 | 2015-09-02 | 北京匡恩网络科技有限责任公司 | 一种网络安全规则冲突分析与简化方法 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111191110A (zh) * | 2019-05-17 | 2020-05-22 | 延安大学 | 一种用户意图估计方法 |
CN114726724A (zh) * | 2020-12-22 | 2022-07-08 | 诺基亚通信公司 | 使用网络变化验证的基于意图的组网 |
CN114726724B (zh) * | 2020-12-22 | 2024-01-02 | 诺基亚通信公司 | 使用网络变化验证的基于意图的组网 |
Also Published As
Publication number | Publication date |
---|---|
CN109218281B (zh) | 2021-06-25 |
EP3422663B1 (en) | 2022-07-13 |
US10944793B2 (en) | 2021-03-09 |
EP3422663A1 (en) | 2019-01-02 |
US20190007453A1 (en) | 2019-01-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109218281A (zh) | 基于意图的网络安全策略修改 | |
Rathore et al. | BlockSecIoTNet: Blockchain-based decentralized security architecture for IoT network | |
ur Rehman et al. | DIDDOS: An approach for detection and identification of Distributed Denial of Service (DDoS) cyberattacks using Gated Recurrent Units (GRU) | |
Thakur et al. | An investigation on cyber security threats and security models | |
Bonguet et al. | A survey of denial-of-service and distributed denial of service attacks and defenses in cloud computing | |
Nowak et al. | Verticals in 5G MEC-use cases and security challenges | |
US9858626B2 (en) | Social sharing of security information in a group | |
CN106888106A (zh) | 智能电网中的it资产大规模侦测系统 | |
US10333964B1 (en) | Fake account identification | |
US11727245B2 (en) | Automated masking of confidential information in unstructured computer text using artificial intelligence | |
Scheidt et al. | Identification of iot devices for forensic investigation | |
Labba et al. | combining artificial intelligence and edge computing to reshape distance education (Case study: K-12 Learners) | |
US10965693B2 (en) | Method and system for detecting movement of malware and other potential threats | |
Choraś et al. | Machine learning techniques for threat modeling and detection | |
KR20210106896A (ko) | 보안 통제 관리 시스템 및 그 방법 | |
Nisar et al. | Minimizing Viral Transmission in COVID-19 Like Pandemics: Technologies, Challenges, and Opportunities | |
Mehta et al. | Distributed Denial of Service Attack Prediction over Software Defined Networks Using Federated Learning | |
Resmi et al. | An extension of intrusion prevention, detection and response system for secure content delivery networks | |
Choraś et al. | Emerging cyber security: Bio-inspired techniques and MITM detection in IoT | |
Kumar et al. | Trust based Algorithm for communication between Machine to Machine | |
Balan et al. | Application of Machine Learning Classification Algorithm to Cybersecurity Awareness. | |
Hagenlocher | Performance of message authentication codes for secure ethernet | |
Harvey | Introducing and facilitating internet of medical things (IoMT) research for undergraduate students and high school teachers | |
CN109658088A (zh) | 基于浏览器的多平台账户关联的方法、装置及浏览器 | |
Silva et al. | A Europe-Brazil context for secure data analytics in the cloud |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |